Betalingssystemer og IKT i finanssektoren 27. mai 2015



Like dokumenter
Pressebriefing 9. april 2015

Pressebriefing 3. april 2014

Pressebriefing 28. april 2016

Seminar om betalingssystemer og IKT i finanssektoren,

Risiko- og sårbarhetsanalyse (ROS) Tilsynsrådgiver Stig Ulstein Tilsynsrådgiver Atle Dingsør Finanstilsynet

Seminar 1. juni Risiko- og sårbarhetsanalyse (ROS) 2015 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Pressebriefing 11. april 2013

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2015

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Finanstilsynets risiko- og sårbarhetsanalyse 2010

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2014

Trusselbildet slik Finanstilsynet ser det

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Egenevalueringsskjema

Utfordringer innen IKTområdet PwC 20. september 2011

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Bankenes sikringsfond 9. september 2014

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Risiko- og sårbarhetsanalyse (ROS) 2005

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Bankenes. mislighetsstatistikk

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Trusler, trender og tiltak 2009

Søknadsskjema etter finansforetaksforskriften 3-2

BankAxept i en ny digital virkelighet. - og hvor er bransjen om 2år? BETALINGSFORMIDLING 2018

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HÅNDTERING AV NETTANGREP I FINANS

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Har du kontroll på verdiene dine

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Risiko- og sårbarhetsanalyse (ROS) 2006

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

Finanstilsynets prioriteringer. Finanstilsynsdirektør Morten Baltzersen

Finanstilsynets risiko- og sårbarhetsanalyse 2009

Risiko- og sårbarhetsanalyse (ROS) Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

RISIKO- og SÅRBARHETSANALYSE (ros)

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Decision Support. Foretakenes svar

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Knut Sandal, Norges Bank. Seminar om betalingssystemer og IKT i finanssektoren arrangert av Finanstilsynet og Norges Bank, 3.

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2016

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Tilsyn med finansmarkedet FINANSTILSYNET

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Årsrapport om betalingssystem 2012

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

7 tegn på at dere bør bytte forretningssystem

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Organisert kriminalitet i Norge

Mobilbank kontrollspørsmål apper

Finanstilsynets årsmelding Styreleder Endre Skjørestad Pressekonferanse 10. mars 2011

«State of the union»

NorCERT IKT-risikobildet

D IGITA L ISER I N GSSTRATEGI F OR FORSK N I N GSRÅDET

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Finansministerens time

7 tegn på at dere bør bytte forretningssystem

3.1 Prosedyremal. Omfang

Tilsyn med finansmarkedet. Kort om Finanstilsynet

VI BYGGER NORGE MED IT.

Teknologioptimist om dagen- bekymret om natten

Foretakets navn : Dato: Underskrift :

Kompetansemål fra Kunnskapsløftet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Egenevalueringsskjema

Nettbanksikkerhet. Erfaringer fra SpareBank 1

Hvitvasking som operasjonell risiko Finans Norge, 10. Januar 2018

SONDERINGSMØTE DIHVA. Svartediket kl 9:30-13:30

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Betydningen av en effektiv betalingsinfrastruktur

Høring beredskap for kontantdistribusjon

Sikkerhet innen kraftforsyningen

Overordnet IT beredskapsplan

Hva betyr «Just-in-time» privileger for driftspersonalet?

Teknologi og digitalisering i transportsektoren

Betalingskortområdet EU påvirkning. - muligheter og utfordringer

RISIKO- og SÅRBARHETSANALYSE (ros)

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Høring NOU 2016:19 Samhandling for sikkerhet

Digitale legekonsultasjoner sett i fra tilsynsmyndigheten forsvarlighet og tilsynsmessige konsekvenser

Risikovurdering for folk og ledere Normkonferansen 2018

EN FINANSNÆRING I ENDRING. NSR, Direktørmøte 7.oktober 2015 Idar Kreutzer, adm. dir. Finans Norge

Transkript:

Betalingssystemer og IKT i finanssektoren 27. mai 2015 Risiko- og sårbarhetsanalyse (ROS) 2014 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Olav Johannessen og Atle Dingsør

ROS-analysen 2014: 1. Innledning 2. Oppsummering 3. Finanstilsynets funn 4. Andre observasjoner 5. Utviklingstrekk, Aktuelle trender som kan påvirke risiko 6. Risikoområder 7. Finanstilsynets oppfølging 8. Ordliste 2 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Hensikten med den årlige ROS-analysen er å speile risikobildet i finanssektorens bruk av IKT Årlig ROS-analyse Risiko Sikkerhet Skaffe oversikt Analysere Foreslå tiltak Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju og spørreundersøkelser Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt Betalingstjenester Annen relevant Informasjon Beredskap - BFI-sekretariatet - Samarbeid andre myndigheter - Infrastruktur betalings-systemer Våre virkemidler Regelverk, Innrapportering og Tilsyn 3 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

2. Oppsummering Betalingstjenestene generelt er stabile og har hovedsakelig en god kvalitet, selv om det i 2014 var en økning i alvorlige hendelser som bidro til å redusere betalingssystemenes tilgjengelighet Økt kortsvindel med stjålet kortinformasjon Økte tap som skyldes at kundens innloggingsmekanisme er blitt stjålet og misbrukt Utviklingen i digital kriminalitet gjør forbrukerne mer sårbare Det er krevende for forbrukere å forholde seg til trusler og sårbarheter i finansielle tjenester Den alvorligste trusselen er at inntrengere får tilgang til IKTinfrastruktur og applikasjoner gjennom målrettede angrep Omfattende endringer i finanssektorens IKT-virksomhet Endringene kan gi forbedringer, men de kan også skape nye sårbarheter. 4 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

3. Finanstilsynets funn 1. Rapporterte hendelser 2014 2. Funn, observasjoner og vurderinger Betalingssystemer og utvikling. Tapstall Verdipapirområdet Bank Forsikring Funn i andre foretak 3. Forbrukerområdet 5 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Jan 12 Feb 12 Mar 12 Apr 12 Mai 12 Jun 12 Jul 12 Aug 12 Sep 12 Okt 12 Nov 12 Des 12 Jan 13 Feb 13 Mar 13 Apr 13 Mai 13 Jun 13 Jul 13 Aug 13 Sep 13 Okt 13 Nov 13 Des 13 Jan 14 Feb 14 Mar 14 Apr 14 Mai 14 Jun 14 Jul 14 Aug 14 Sep 14 Okt 14 Nov 14 Des 14 Antall rapporterte hendelser i perioden 2012 2014 Figur 2: Antall rapporterte hendelser i perioden 2012 2014 60 50 40 Hendelse 28.01.14 Hendelser i mai og juni 2014 2011: 221 hendelser 2012: 216 hendelser 2013: 189 hendelser 2014: 217 hendelser 30 20 10 0 Kilde: Finanstilsynet 6 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Hendelser vektet med konsekvens Figur 4: Hendelser vektet med konsekvens 7 Kilde: Finanstilsynet ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Betalingstjenester 1. Flere alvorlige hendelser rammet betalingsformidlingen 2. Hendelser som oppstår i, eller treffer betalingsinfrastrukturen, rammer bredt og medfører raskt store konsekvenser 3. Endringer hyppig årsak til feil og avvik og det er derfor knyttet betydelig risiko knytte til dette 4. Robustheten i løsninger samsvarer i enkelte sammenhenger ikke med betalingsformidlingens sentrale rolle 5. Svakheter i driftsløsninger som skal sikre kontinuitet for betalingsformidlingen 6. Enkelte foretak har mangler i sine avtaler, bl.a. IKT-forskriftens regler om utkontraktering 7. Rask utvikling innen mobile betalingsløsninger, nasjonalt og internasjonalt 8. Finanstilsynet har gjort sårbarhetsvurderinger knyttet til mobilbaserte betalingsløsninger 8 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Betalingstjenester - 2 9. Fortsatt angrep som rammer betalingsformidlingen DDoS, phishing, trojanere, tyveri av kortinformasjon 10. Ikke kjent med svindelforsøk via mobiltelefon i Norge 11. Finanstilsynets erfaring er at foretakene har god beredskap, at de har etablert godt forsvarsverk og at de iverksetter effektive tiltak som reduserer både skadeomfang og kunders tapsomfang 9 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Transaksjonsflyten i det norske betalingssystemet Stabil sentral betalingsinfrastruktur Flere hendelser hos foretakene som rammer betalingstjenestene 10 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Tap ved bruk av betalingskort (tall i hele tusen kroner) Tabell 1: Tap ved bruk av betalingskort (tall i hele tusen kroner) Svindeltype betalingskort 2011 2012 2013 2014 Misbruk av kortinformasjon, Card-Not-Present (CNP) (internetthandel m.m.) Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort i Norge Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort utenfor Norge Originalkort tapt eller stjålet, misbrukt med PIN i Norge Originalkort tapt eller stjålet, misbrukt med PIN utenfor Norge 24 190 35 701 51 954 72 056 468 2 308 762 524 57 340 55 869 51 534 51 685 32 224 28 128 21 274 21 266 7 008 8 544 9 570 13 071 Originalkort tapt eller stjålet, misbrukt uten PIN 4 488 4 603 4 9 49 5 510 TOTALT 125 718 135 153 140 043 164 113 Kilde: Finanstilsynet 11 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Antall betalingskort rammet av misbruk Tabell 2: Antall betalingskort rammet av misbruk Svindeltype betalingskort 2011 2012 2013 2014 Antall kort rammet av misbruk 16 784 20 332 22 531 38 541 Kilde: Finanstilsynet Totaltapet på kortsvindel økte også i 2014. Det var også i 2014 en betydelig økning i svindel av typen «card-not-present» (CNP), mens det var en reduksjon i tapene knyttet til andre typer kortsvindel. 12 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Tap ved bruk av nettbank (tall i hele tusen kroner) Tabell 3: Tap ved bruk av nettbank (tall i hele tusen kroner) Svindeltype nettbank 2011 2012 2013 2014 Angrep ved bruk av ondartet programkode på kundens PC (trojaner) 664 5 064 1 327 552 Tapt/stålet sikkerhetsmekanisme 3 321 3 367 1 321 6 655 TOTALT 3 985 8 431 2 648 7 207 Kilde: Finanstilsynet 13 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Verdipapirområdet 1. Høy stabilitet og god kvalitet kjennetegner verdipapirområdet 2. Betydelig endringsomfang på regelverksområdet (EU) vil påvirke infrastrukturen og innebærer endringsrisiko med behov for kvalitetssikring 3. Gamle såkalte legacy-systemer representerer en utfordring, og en fornyelse innebærer risiko under gjennomføringen 4. Bruk av skybaserte tjenester kan gi nye utfordringer ved at forretningsansvarlige i foretak går til «innkjøp» av IKT-tjenester uten å gå via egen IT-avdeling 5. Mangelfulle tilgangskontroller til sensitiv informasjon 6. Bruk av samme nettverksinfrastrukturer representerer en konsentrasjonsrisiko 14 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Bank 1. Endringer på driftsleverandørsiden, både eierskifter og bytte av leverandører kan øke risikoen spesielt i endringsperioden 2. Reetablering av IKT-tjenester i en katastrofesituasjon vil kunne ta lenger tid enn antatt 3. Foretakene må sikre egen styring og kontroll av IKT-virksomheten, også ved utkontraktering 4. Manglende etterlevelse om krav til datasystemer og rapportering til Bankenes sikringsfond dersom foretaket blir satt under offentlig administrasjon 5. Mangelfull gjennomgang og kontroll av ansattes tilganger til systemer og applikasjoner 6. Utfordrende å styre og kontrollere klassifiseringsregler, spesielt mht. tilganger til graderte data og systemer 15 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Forsikring 1. Komplekse forsikringssystemer med sensitiv informasjon krever sikker og betryggende forvaltning og etablerte reserveløsninger 2. Få rapporterte hendelser tyder på god endringskontroll 3. De fleste hendelsene er knyttet til konfidensialitetsbrudd 4. Mangler i etterlevelse av forskriftenes krav ved utkontraktering Kan medføre mangelfull oversikt over, og kontroll med, IKT-virksomhet og IKT-risikoer 5. Risikoanalyser ofte fragmenterte, mangelfulle og dekker ikke selskapets samlede IKT-virksomhet 6. Testing av kontinuitets- og katastrofeplaner synes å være et forbedringsområde 7. Sensitiv informasjon, kan være av interesse for inntrengere 16 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Andre foretak Finanstilsynet gjør enkelte stedlige IT-tilsyn i inkassoselskaper og eiendomsmeglingsforetak. I tillegg må eiendomsmeglingsforetakene og inkassoselskapene svare på et forenklet egenevalueringsskjema med spørsmål om ITvirksomheten ved ordinære fagtilsyn. Finanstilsynet hadde i 2014 merknader til Manglende beredskapsløsninger Sikring av konfidensiell informasjon Manglende rutiner for å håndtere sikkerhetshendelser At foretaket peker på IT-leverandøren som ansvarlig for ITprosessene. 17 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Forbrukerområdet 1. Mangelfull ID-sjekk ved utlevering av BankID kan få store konsekvenser for forbrukeren som er rammet Gjaldt 15 av 150000 utleveringer i 2014 2. Forbrukere kan bli svindlet ved netthandel mellom private parter dersom de ikke gjør bruk av handelssteders betalingstjenester 3. Forbruker må forsikre seg om at nettsteder har den nødvendige sikkerhet, som f.eks. kryptering (hengelås i adressefeltet) 18 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

4. Andre observasjoner 1. Foretakenes vurdering av risiko Intervjuer Spørreundersøkelse 2. Risikoområder påpekt fra andre kilder Intervju med sikkerhetsselskaper og internettjenesteleverandører Rapporter fra internasjonale sikkerhetsorganisasjoner 19 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Intervjuer og spørreundersøkelser med foretakene 1. De mest fremtredende truslene synes å være at inntrengere får tilgang til IKT-infrastruktur og applikasjoner gjennom målrettede angrep. 2. Andre trusselområder som representerer betydelig risiko er: økningen i IKT- og cyberkriminalitet sikkerhetshull i programvare som kan utnyttes av kriminelle den sterke avhengigheten til Internett ansattes bruk av sosiale medier informasjon som kommer på avveie Utlevering av BankID kodebrikke, Personopplysninger 3. Kompleksitet i IKT-løsninger utgjør også en høy risiko for datakvalitet og stabil drift, og kan hindre nyutvikling. 20 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Støtte for strategiske beslutninger 21 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Avvik i driften 22 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Data er ikke tilstrekkelig beskyttet 23 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

ID-tyveri 24 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Misbruk av tilgang til datasystemene 25 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Hvitvasking 26 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Risikoområder påpekt fra andre kilder Norge et av de minst infiserte land når det gjelder PC-virus Foretakene bør sørge for at ISP-er tar en mer aktiv rolle i bekjempelse av DDoS og spam Advanced Persistent Threat (APT) - den største trusselen fra nettet Brukermedvirkning finnes i nesten 50 prosent av APT-inntrenginger Foretakene må sikre at informasjon ikke kommer på avveie Sikkerhetsatferd viktig. 80 20-regelen kan benyttes i fordeling mellom menneskelige og teknologiske svakheter Datainnbrudd globalt økt i frekvens med 25 prosent siste året. Manglende sikkerhet i sluttbrukerleddet årsak til mer enn 50 prosent av innbruddene Viktig å holde oppe forsvaret mot ondsinnede angrep fra nettet, feil kan medføre alvorlige konsekvenser både for foretaket og kundene. 27 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Finanstilsynets oppsummering av IKT- og internettbasert kriminalitet Trusselen fra cyberangrep øker ved at verktøyene som benyttes, blir mer sofistikerte og at metodene som benyttes, blir mer varierte Angrepene som gjøres, er målrettede og utføres ofte av organisasjoner som baserer forretningsdriften sin på kriminell virksomhet Denne typen organisasjoner har gjerne tilgang til ressurser med stor kunnskap innenfor IKT-området, nødvendig datakapasitet og god tilgang på finansiering av virksomheten 28 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

5. Utviklingstrekk 1. Økende digital kriminalitet. Myndighetene vier dette større oppmerksomhet 2. Endringer i tjenesteleverandørmarkedet, organisering og eierskap og utkontrakteringslandskapet 3. Utviklingen i teknologi åpner for utvikling av mer effektive og brukervennlige tjenester. Høy endringstakt innenfor mobilbaserte betalingstjenester og utviklingen i sikkerhetsløsninger 4. Endringer i regelverk både Nasjonalt EU 5. Fellestiltak fra finansnæringen 6. Virtuelle valutaer 29 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

6. Finanstilsynets oppsummerende vurdering av risikobildet 1. Aktuelle risikoområder er vurdert ut fra kontrollmålene integritet, konfidensialitet, tilgjengelighet og at IT fungerer tilfredsstillende som støtte for forretningsdriften. Kontrollmål Integritet Informasjon og informasjonssystemer er korrekte, gyldige og fullstendige. Konfidensialitet Informasjon og informasjonssystemer er tilgjengelige bare for dem som skal ha tilgang. Tilgjengelighet Informasjon og informasjonssystemer er tilgjengelige innenfor de tilgjengelighetskravene som er satt. Beslutningsstøtte: "IT fungerer tilfredsstillende som støtte for strategiske beslutninger, kundebehandling, saksbehandling og rapportering". Vurderingstema (eksempler) Sårbarhet/kontrolltiltak Risko Trend Datakvalitet Datamodeller Endringsbeskyttelse (hash) H Tilgangskontroller Autorisasjon og Identitetskontroller Interne retningslinjer Kryptering (kvalitet) M Logging Avhengighet av Internett Endringer i programmer og data Flytte driften Komplisert kjøreomgivelse Maskinvarefeil og Nettverksfeil M Vedlikehold, opprydding og sanering Avviksanalyse Konsekvensanalyse Tidlig varsling Totalt kundebilde "What if"-analyse 30 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015, M

6. Finanstilsynets oppsummerende vurdering av risikobildet - 2 2. Risikoen knyttet til integritet er høy og økende, risikoen knyttet til konfidensialitet er middels og stabil, risikoen knyttet til tilgjengelighet er middels og økende og risikoen knyttet til at IT fungerer tilfredsstillende som støtte for forretningsdriften er middels og stabil. 3. Finansforetak var under angrep i 2014. Virkningen har vært dempet som følge av tiltak fra foretakene. Digitale angrep mot finanssektoren kan føre til at markedene og finansiell stabilitet kan bli truet. 4. Hyppigste feilårsak hos foretak er feil ifm endring i systemer og omgivelser, og de må fortsatt ha særlig oppmerksomhet rettet mot dette området. 5. Det er krevende for forbrukere å forholde seg til trusler og sårbarheter i finansielle tjenester på en kvalifisert måte, og finansnæringen har et stort ansvar for å bygge inn tilstrekkelig sikkerhet i løsningene. 31 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

7. Finanstilsynets oppfølging 1. IT-tilsyn og annen kontakt med foretakene 2. Arbeid med betalingssystemer 3. Oppfølging av hendelser 4. Beredskapsarbeid 5. Videreutvikling av tilsynsverktøy 6. Oppfølging av trusselbildet knyttet til digital kriminalitet 32 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

Takk for oppmerksomheten! Olav Johannessen & Atle Dingsør Seksjonssjef seksjon for tilsyn med IT og betalingstjenester E-post: ola@finanstilsynet.no & adi@finanstilsynet.no FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no 33 ROS-analysen 2014 - Seminar betalingssystemer og IKT i finanssektoren 27.05.2015,

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding